Google soluciona silenciosamente una vulnerabilidad en USB que afectaba a más de mil millones de dispositivos Android.
Una empresa llamada Cellebrite, dedicada a comercializar herramientas forenses para las fuerzas del orden, aprovechó una vulnerabilidad cero día en el marco USB de Android.
En la primera semana de febrero, Google lanzó su habitual Boletín de Seguridad de Android, el cual detalla las vulnerabilidades que se han corregido para mejorar la seguridad de la plataforma. Generalmente, estas debilidades son anunciadas solo después de ser solucionadas, a excepción de casos especiales. Este febrero se ha presentado una situación poco común debido a una vulnerabilidad de alto riesgo a nivel de kernel, que continuaba bajo explotación activa al momento de la publicación del boletín. “Existen indicios de que CVE-2024-53104 podría estar bajo explotación limitada y dirigida”, señala la nota de lanzamiento.
La falla fue reportada inicialmente por expertos de Amnesty International, quienes la describen como una "escritura fuera de los límites en el controlador de la Clase de Video USB (UVC)". Los investigadores subrayan que, al tratarse de un exploit a nivel de kernel, afecta a más de mil millones de dispositivos Android, sin importar la marca. Dado que se trata de un exploit de día cero, solo los atacantes son conocedores de su existencia, a menos que los expertos en seguridad logren identificarlo, desarrollar una solución junto con el equipo de la plataforma y finalmente distribuirla a todos los dispositivos afectados.
Además, otras dos vulnerabilidades, CVE-2024-53197 y CVE-2024-50302, han sido corregidas a nivel de kernel, pero Google aún no las ha parchado completamente a nivel de sistema operativo. El impacto es amplio, abarcando el ecosistema Android, mientras que el vector de ataque utiliza una interfaz USB. Se trata de exploits de día cero en los controladores USB del kernel de Linux, que permiten a un atacante eludir la protección de la pantalla de bloqueo y obtener acceso privilegiado profundo a un teléfono a través de una conexión USB.
Recientemente, se reportó que una herramienta de Cellebrite fue utilizada para desbloquear el teléfono de un activista estudiantil serbio y acceder a los datos almacenados en él. En este caso, un kit UFED de Cellebrite fue empleado por funcionarios de la ley en el smartphone del activista, sin informarles ni obtener su consentimiento explícito. Amnesty destaca que el uso de herramientas como Cellebrite, que han sido mal utilizadas para atacar periodistas y activistas, no contaba con autorización legal.
El dispositivo afectado fue un Samsung Galaxy A32, al que la herramienta de Cellebrite logró acceder, rompiendo la protección de la pantalla de bloqueo y obteniendo acceso root. “Los proveedores de Android deben fortalecer urgentemente las características defensivas de seguridad para mitigar las amenazas de conexiones USB no confiables a dispositivos bloqueados”, indica el informe de Amnesty.
Este no es el primer caso en que se menciona a Cellebrite en las noticias. La compañía vende sus herramientas de análisis forense a organismos de law enforcement y federal en los Estados Unidos y en otros países, permitiéndoles acceder de forma forzada a dispositivos y extraer información crítica. En 2019, Cellebrite afirmó que podía desbloquear cualquier dispositivo Android o Apple utilizando su Dispositivo Universal de Extracción Forense. Sin embargo, sus prácticas han suscitado preocupaciones éticas y alarmas de privacidad sobre su uso indebido por parte de autoridades para vigilancia, acoso y persecución de denunciantes, periodistas y activistas. Hace unos meses, Apple también endureció silenciosamente los protocolos de seguridad con la actualización iOS 18.1, con la intención de bloquear el acceso no autorizado a teléfonos bloqueados y prevenir la extracción de información sensible.
